Informationsrisikomanagement 1
ROTER FADEN Das Unternehmen CARMAO Bedrohungen und Verwundbarkeiten Der Nutzen der Risikoszenarioanalyse 2
HERZLICH WILLKOMMEN Gegründet: Firmensitz: 2003 in Darmstadt Brechen (nahe bei Limburg a.d.l.) Geschäftsstelle: München Mitglied in: CAST, GDD, ISACA, KoSiB, VSW, Ploenzke Netzwerk Beratungen, Dienstleistungen und Schulungen zu risikoorientiertem Informationsmanagement Informationssicherheitsmanagement Identitäts-und Berechtigungsmanagement Informationsrisikomanagement BCM/ Notfallmanagement IT-Compliance inkl. Datenschutz Sicherheitskultur 3
IHRE WERTE VERLANGEN SCHUTZ! 4
BEDROHUNGEN Angreifer von außen Angreifer von innen Zufällige Angriffe Hoch motivierte Angriffe 5
ANGRIFFE AUF DIE UNTERNEHMENS-IT Prof. Kempf als Datev-Vorstand Eine fünfstellige Zahl an Attacken pro Jahr *) 10.000 : 365 = 27 pro Tag 99.999 : 365 = 273 pro Tag *) Quelle: heise online 27.06.2012 http://goo.gl/md7n3 6
BEDROHUNG TRIFFT AUF SCHWACHSTELLE Angreifer von außen trifft auf Unsicheren Server Szenario Hacker greift über Internet an Über die Eintrittswahrscheinlichkeit Ermittlung des Gefährdungspotentials 7
RISIKOORIENTIERTES SCHWACHSTELLENMANAGEMENT Risikominderung Schwachstellen Analyse Risikobewertung 8
CARVAS SCHWACHSTELLENANALYSE Risikominderung Schwachstellen Analyse Risikobewertung 9
SCHWACHSTELLEN-ANALYSE Infrastruktur Vulnerability Scans Architektur Reviews Audits von Rechenzentren und Gebäudesicherheit Etc. Applikationen Web Application Scans Application Penetration Tests Source Code Reviews Etc. Prozesse Audits von Rollen und Berechtigungen Audits von Review- und Genehmigungsworkflows Audits zur Compliance gegen Informationssicherheits-Policies Etc. 10
SCHWACHSTELLENLISTE Nach Schweregrad geordnet
HERAUSFORDERUNGEN Bei welcher Schwachstelle fange ich denn an? Nach welchem Kriterium legt man die Reihenfolge fest? Welche Aktivität liefert den größten Kosten/Nutzen-Effekt? Wie bekomme ich die Antwort ohne übermäßigen Aufwand? 12
RISK SCENARIO ASSESSMENT Risikominderung Schwachstellen Analyse Risikobewertung 13
INFORMATION SECURITY ASSETS Geschäftsprozess A Geschäftsprozess B Geschäftsprozess C Applikation 1 Applikation 2 Server 1 Server 2 14
RISK SCENARIO ASSESSMENT Szenario S1.1 Szenario S1.2 Geschäftsprozess A Geschäftsprozess B Geschäftsprozess C Applikation 1 Applikation 2 Server 1 Server 2 Hacker Schwachstelle X 15
RISK SCENARIO ASSESSMENT Szenario S1.1 Szenario S1.2 Geschäftsprozess A Geschäftsprozess B Szenario S2 Geschäftsprozess C Applikation 1 Applikation 2 Server 1 Server 2 Hacker Schwachstelle X Schwachstelle y 16
HERAUSFORDERUNG Geschätzte Kosten für die Beseitigung der Schwachstellen Schwachstelle x: Schwachstelle y: 19.000 EUR 11.000 EUR Verfügbares Budget: 20.000 EUR Nun ist guter Rat teuer!!!!
RISIKOKLASSIFIZIERUNG Beispiel: Gefährdung der Vertraulichkeit Risikoklasse Vertraulichkeit Schaden Wahrscheinlichkeit des Eintretens (Gefährdung) 10% 20% 30% 40% 50% 60% 70% 80% 90% Schaden -Auswirkung durch Verletzung der Vertraulichkeit Streng Vertraulich Katastrophal Vertraulich Signifikant Interner Gebrauch Beträchtlich Externer Gebrauch Nennenswert Gering Risikoakzeptanzschwelle RS 1.1 Mittel RS 1.2 Hoch Sehr Hoch RS 2 Behebung einer Schwachstelle reduziert Sehr Hohes Risiko bei nur nennenswertem Schaden Behebung einer anderen Schwachstelle behebt gleich mehrere Risiken Mittel/Hoch bei signifikantem Schaden
3 2 5 DAS MODELL ZUR RISIKOBEWERTUNG VeriNice steht unter Gnu Public License Konstruktion & Entwicklung Wartung durch Firma SerNet Empfohlen unter anderem vom BSI Dateiaustausch mit Ingenieurbüro Konstruktions-& Entwicklungsdaten 4 1 FTP-Server Unverschlüsselte FTP-Anmeldung 19
IHR NUTZEN Entscheidungen nach Wichtigkeit und Dringlichkeit Budgetanfragen mit Argumenten untermauert Zielgerichteter Einsatz von Budgetmitteln 20
SCHWACHSTELLENMANAGEMENT Risikominderung Schwachstellen Analyse Risikobewertung 21
RISIKOMINDERUNG Auswahl geeigneter Schutzmaßnahmen Berücksichtigung interner Sicherheitsrichtlinien Orientierung an ISO 27002 bzw. IT-Grundschutzkatalogen Management der Schwachstellen Workflow zur Steuerung der Schwachstellenbehebung Statustracking in einer Schwachstellendatenbank Schwachstellen-Repository Trendinformationen zur Schwachstellenentwicklung Dauer der Schwachstellenbehebung Integration in ein bestehendes ISMS nach ISO/IEC 27001
CARVAS SCHWACHSTELLENMANAGEMENT Toolunterstützung (MS Excel, MS Sharepoint, ISMS Tools, etc.) Risikominderung Erstellung und Umsetzung von Lösungskonzepten zu Einzelmaßnahmen Implementierung eines ganzheitlichen Schwachstellenmanagements Integration in ein vorhandenes ISMS nach ISO/IEC 27001 Risiko-Bewertung Planung, Einführung und Durchführung von methodischen Risiko-Assessments Schwachstellenanalyse Durchführung diverser Analysen VulnerabilityScans, Web ApplicationScans, APTs, Audits, Social Engineering Simulationen, etc. 23
VIELEN DANK FÜR IHRE AUFMERKSAMKEIT FRAGEN? Ulrich Heun Geschäftsführer und Management Consultant, CARMAO GmbH Vorstand des Kompetenzzentrum für Sicherheit KoSiB eg 24
wählen Sie CARMAO als Partner Firmensitz Rathausstraße 17 65611 Brechen Tel: +49 (6438) 9249-20 Fax: +49 (6438) 9249-23 Geschäftsstelle München Pilotystraße 4 80538 München Tel: +49 (89) 25557-246 Fax: +49 (89) 25557-247 kontakt@carmao.de www.carmao.de 25